魏龍飛 楊柳 任夢雅

摘 ?要：手機(jī)在作為日常通訊工具的同時(shí)也成為了犯罪分子實(shí)施違法犯罪的作案工具，開展手機(jī)取證研究有利于固定犯罪證據(jù)，提供偵查線索，本文根據(jù)目前手機(jī)取證現(xiàn)狀開展調(diào)查研究，探討了手機(jī)取證的特點(diǎn)、面臨的困難，并就取證方法進(jìn)行闡述。

關(guān)鍵詞：手機(jī)取證;違法犯罪;證據(jù)收集

0 ?引言

在互聯(lián)網(wǎng)高速發(fā)展的大數(shù)據(jù)時(shí)代，手機(jī)作為日常通訊、娛樂及存儲(chǔ)工具已成為人們的生活必須品，手機(jī)性能的提升給人們的生活帶來了便利，但也為犯罪分子開展詐騙、制假售假、黑客攻擊、傳播病毒、侵犯個(gè)人隱私等違法犯罪活動(dòng)提供了新型高效的作案工具。因此，加強(qiáng)手機(jī)取證研究，從犯罪分子手機(jī)的存儲(chǔ)空間及運(yùn)營商數(shù)據(jù)庫中還原、分析、固定電子證據(jù)并作為案件偵查線索或被法庭認(rèn)可的證據(jù)，對于打擊犯罪、懲治不法分子、保障人民生命和財(cái)產(chǎn)安全及維護(hù)社會(huì)和諧穩(wěn)定有重要意義。

1 ?手機(jī)取證的特點(diǎn)

手機(jī)取證是指利用電子數(shù)據(jù)檢驗(yàn)鑒定的技術(shù)方法、工作程序及體系，全面、準(zhǔn)確、系統(tǒng)地恢復(fù)、分析及提取受檢手機(jī)中有價(jià)值的信息，并制作成為法庭認(rèn)可或偵查機(jī)關(guān)需要的證據(jù)的過程。相對于計(jì)算機(jī)取證，手機(jī)取證是鑒定工作新興的業(yè)務(wù)范疇，手機(jī)數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一、操作系統(tǒng)復(fù)雜多樣、生產(chǎn)廠家品牌眾多、更新?lián)Q代速度飛快等特點(diǎn)均對手機(jī)取證工作提出了較高的要求，盡管現(xiàn)有的計(jì)算機(jī)取證有一定的成功經(jīng)驗(yàn)可以運(yùn)用到手機(jī)取證中來，但由于大部分手機(jī)均使用專有協(xié)議，國內(nèi)電子數(shù)據(jù)鑒定機(jī)構(gòu)只能對部分品牌的主流手機(jī)進(jìn)行取證，且取證的效果并不理想，同我國司法工作所要求的證據(jù)標(biāo)準(zhǔn)相距甚遠(yuǎn)，所以開展手機(jī)取證研究的意義重大。

2 ?手機(jī)取證面臨的困難

當(dāng)前手機(jī)取證仍處于探索嘗試階段，不同于計(jì)算機(jī)電子取證，手機(jī)取證面臨的以下問題，制約了手機(jī)取證的發(fā)展及為司法實(shí)踐服務(wù)的效能。

2.1 ?手機(jī)生產(chǎn)管理缺失

目前，主流手機(jī)生產(chǎn)廠商在每一部手機(jī)出廠時(shí)均會(huì)授予一個(gè)移動(dòng)設(shè)備國際識(shí)別碼（IMEI），此碼猶如人類的指紋，具有唯一性。但一些小的手機(jī)生產(chǎn)商，受利益驅(qū)使，在監(jiān)管部門的視線外進(jìn)行著仿照、生產(chǎn)同主流手機(jī)外觀雷同、功能相似的山寨手機(jī)，并通過偽造IMEI碼為成百上千的手機(jī)打上相同的設(shè)備識(shí)別碼。而且此種廠家屢禁不止，由于監(jiān)管缺失，導(dǎo)致此類手機(jī)源源不斷流入市場，在對此類手機(jī)進(jìn)行取證時(shí)，必定位出現(xiàn)IMEI號碼對應(yīng)多個(gè)手機(jī)的現(xiàn)象，影響取證工作的權(quán)威性。

2.2 ?手機(jī)信息提取難度大

一是手機(jī)操作系統(tǒng)多。目前，手機(jī)使用的主流操作系統(tǒng)有Android、iPhoneOS、Windows mobile、Symbian、Blackberry等，由于上述操作系統(tǒng)來源于不同的公司，不同操作系統(tǒng)文件的存儲(chǔ)和管理途徑均不相同，導(dǎo)致提取、恢復(fù)、解密手機(jī)文件及數(shù)據(jù)也需要尋找不同的方法。二是取證軟件兼容性不足。目前市場上的手機(jī)取證軟件有很多，如盤石、Cellseizure、Celldek等，但一般取證軟件只針對部分手機(jī)操作系統(tǒng)，缺乏一種取證軟件能夠兼容所有廠商、所有型號及所有操作系統(tǒng)的手機(jī)，導(dǎo)致手機(jī)取證費(fèi)用高昂。三是接口不統(tǒng)一。我國未建立統(tǒng)一的手機(jī)數(shù)據(jù)連接線標(biāo)準(zhǔn)，導(dǎo)致不同品牌、型號的手機(jī)充電接口及數(shù)據(jù)線存在差異，在開展鑒定工作時(shí)需要準(zhǔn)備不同品牌、型號手機(jī)的數(shù)據(jù)線及充電器。

2.3 ?手機(jī)取證意識(shí)不足

在司法實(shí)踐中，辦案人員對手機(jī)取證的認(rèn)識(shí)仍停留在短信、話單上，對手機(jī)存儲(chǔ)的圖片、音視頻、交易信息等數(shù)據(jù)視而不見，經(jīng)常忽略重要的案件線索;在鑒定工作中，由于受經(jīng)費(fèi)限制，很多實(shí)戰(zhàn)單位使用破解或盜版手機(jī)取證軟件開展鑒定工作，經(jīng)常出現(xiàn)因軟件缺陷導(dǎo)致取證結(jié)果不正確的現(xiàn)象。

3 ?手機(jī)取證方法

手機(jī)存儲(chǔ)了大量使用人的信息和數(shù)據(jù)，將手機(jī)內(nèi)的電子數(shù)據(jù)分析提取并制作成有效證據(jù)，應(yīng)按遵循以下幾個(gè)步驟：

3.1 ?取證前的準(zhǔn)備

開展手機(jī)取證首先要針對案件的情況成立取證專班，科學(xué)分配取證成員角色，確定項(xiàng)目負(fù)責(zé)人，為取證工作提供組織保障;同時(shí)要對取證設(shè)備進(jìn)行檢查，全面檢查手機(jī)的電量是否滿足取證需求、手機(jī)網(wǎng)絡(luò)連接是否斷開、手機(jī)信號是否屏蔽、手機(jī)數(shù)據(jù)是否進(jìn)行備份等情況，最后還要全面了解相關(guān)法律法規(guī)及規(guī)章條例，為手機(jī)取證工作明確方向。

3.2 ?手機(jī)證據(jù)收集

手機(jī)中的電子證據(jù)主要從手機(jī)設(shè)備內(nèi)置存儲(chǔ)、擴(kuò)展存儲(chǔ)卡、SIM卡、手機(jī)移動(dòng)運(yùn)營商（包括手機(jī)網(wǎng)絡(luò)、通話記錄、短信等數(shù)據(jù)）等渠道獲取。

（1）手機(jī)內(nèi)存取證

對手機(jī)內(nèi)存的取證可分為手機(jī)設(shè)備內(nèi)置存儲(chǔ)和擴(kuò)展存儲(chǔ)卡（閃存卡）兩種。目前尚無如同Encase那樣的計(jì)算機(jī)取證軟件直接備份手機(jī)內(nèi)置存儲(chǔ)，需要通過手機(jī)廠家或操作系統(tǒng)廠商提供的接口與手機(jī)主板連接進(jìn)行讀取或者將手機(jī)拆解得到儲(chǔ)存芯片再用專門設(shè)備進(jìn)行讀取，由于手機(jī)的品牌、型號眾多，獲取手機(jī)內(nèi)置存儲(chǔ)數(shù)據(jù)對取證的軟硬件條件均有較高要求。相對于手機(jī)內(nèi)置存儲(chǔ)的取證，擴(kuò)展存儲(chǔ)卡（閃存卡）的取證就要容易的多，可直接使用設(shè)備接入計(jì)算機(jī)，再用諸如Encase、Smart、Winhex等這樣取證軟件進(jìn)行備份分析。

（2）SIM卡取證

SIM卡為手機(jī)移動(dòng)運(yùn)營商提供的用戶識(shí)別卡，主要記錄IMSI、MIN、PIN碼、密鑰Ki、加密算法和其他用戶相關(guān)信息，因此，SIM卡含有用戶存儲(chǔ)的電話號碼、日程安排、動(dòng)畫、聲音、日期與時(shí)間、上網(wǎng)緩存記錄、通話記錄、文本消息等電子證據(jù)。由于SIM卡是移動(dòng)運(yùn)營商統(tǒng)一提供，是一種標(biāo)準(zhǔn)統(tǒng)一的智能卡，可以用SIMCON、ForensicSIM、SIM-Manager、TULP2G等軟件分析取證。

（3）移動(dòng)運(yùn)營商網(wǎng)絡(luò)取證

手機(jī)通訊需要移動(dòng)運(yùn)營商提供網(wǎng)絡(luò)及技術(shù)支持，故移動(dòng)運(yùn)營商網(wǎng)絡(luò)也包含了很多手機(jī)用戶有價(jià)值的數(shù)據(jù)信息，手機(jī)取證要重點(diǎn)針對移動(dòng)運(yùn)營商CDR數(shù)據(jù)庫進(jìn)行提取，CDR數(shù)據(jù)庫記錄手機(jī)用戶的主叫號碼、被叫號碼，主叫、被叫手機(jī)的IMEI號及BTS（服務(wù)基站）等信息。過濾CDR數(shù)據(jù)，就可以獲取SIM卡的通話記錄，分析BTS信息，可以獲取用戶撥打、接聽電話及發(fā)送、接受短信的精確地理位置。

3.3 ?取證結(jié)果保護(hù)

手機(jī)取證分析工作的同時(shí)要查明所有證據(jù)的來源并對元器件進(jìn)行封裝，期間要注意防塵、防水、防靜電、防電磁輻射、防震等事項(xiàng)，同時(shí)要要實(shí)時(shí)記錄取證結(jié)果，保證所有收集電子數(shù)據(jù)的收集及鑒定過程符合規(guī)定程序，沒有被更改、轉(zhuǎn)移或銷毀，確保提供的證據(jù)準(zhǔn)確有效。

4 ?結(jié)束語

本文重點(diǎn)針對手機(jī)取證的特點(diǎn)、存在的困難及取證步驟進(jìn)行研究，本文提出的具體觀點(diǎn)還需要鑒定專家及實(shí)戰(zhàn)單位的執(zhí)法人員進(jìn)行評價(jià)、分析及進(jìn)一步完善。目前，我國手機(jī)取證目前仍處于起步探索階段，手機(jī)取證技術(shù)的發(fā)展速度遠(yuǎn)遠(yuǎn)達(dá)不到智能手機(jī)更新及4G網(wǎng)絡(luò)推廣的要求，需要鑒定部門進(jìn)一步提高重視程度，加大對手機(jī)取證人力、物力、財(cái)力的投入，全面提升手機(jī)取證工作的水平。

參考文獻(xiàn)：

[1]戴士劍，李運(yùn)策，梅越.電子物證溯源性研究[J].專題研究，2010（11）.

[2]田成亞.智能手機(jī)取證研究[D].山東輕工業(yè)學(xué)院：楊英，2011.

[3]吳葉科，宋如順，陳波.基于手機(jī)取證的調(diào)查模型研究[J].計(jì)算機(jī)時(shí)代，2012（12）.